负责公司补丁的安全经理必看:微软的节奏

原创
安全
就象时钟一样,微软每个月都会定期发布安全公告,每个月都有人问我是小问题还是大问题,发展到今天微软安全补丁已经形成了固定的发布周期。我没有任何特殊的内幕消息,也不能代表微软,我只是从公开的信息就能清楚地知道工作周期。

【51CTO.com 独家翻译】就象时钟一样,微软每个月都会定期发布安全公告,每个月都有人问我是小问题还是大问题,发展到今天微软安全补丁已经形成了固定的发布周期。我没有任何特殊的内幕消息,也不能代表微软,我只是从公开的信息就能清楚地知道工作周期。

60天质量保证(QA)周期

通常,微软的补丁具有30到60天的QA周期,如果好奇,你可以手动下载补丁,看看文件的数字签名日期便知晓了,这不是一个绝对准确的日期,因为补丁的QA过程时间不一定是固定的。

使用这个方法,我计算出了2009年12月补丁QA周期平均是54天,2009年11月补丁QA周期平均是36天,2009年10月补丁QA周期平均是45天。

过山车曲线

安全团队负责取得、测试和安装补丁,感觉微软发布的补丁就象过山车一样,2010年前三个月中,我们看到在CVS和公告中的数量是大起大落,1月份有2个公告,2月份有13个公告,3月份截至本周仅有2个。

如果我们根据CVS每个月的补丁数量绘制一条曲线,发现一件有趣的事,微软的补丁每隔2个月会爆发一次,图1是从2006年1月开始,截至2010年3月的补丁趋势图,图2仅显示了过去两年(2008和2009)的情况,曲线起伏更大。

图 1 2006-2010年补丁数变化曲线

图 2 2008,2009年补丁数变化曲线

经验

我们无法预测任何一个月的补丁细节,但安全团队可以使用这些数据点进行规划,我们都知道资源是有限的,但风险和威胁在不断增加,因此更好地利用资源从未像现在这样重要。

幸运的是,微软不但按照一定的节奏发布补丁,而且规模也是相对可预测的,自3月周二补丁日后,我们可以预计4月的补丁数量会升上去,至少会有两位数。
如果你是负责公司补丁的资源管理经理,了解这一切可以帮助你做好计划,这个月你应该可以好好休息,下个月应该是补丁的高发期,因此你应该提前做好计划,安排好足够的人手安装和测试补丁。

作者简介:

Andrew Storms是nCircle公司的安全运营总监,他负责制定和实施公司的安全遵从计划,以及监督IT部门每天的运营情况。

原文名:The Cadence of Microsoft Security Patches  作者:Andrew Storms

【51CTO.COM 独家翻译,转载请注明出处及译者!】

 

【编辑推荐】

  1. 2010年Pwn2Own黑客大赛将开战 高额奖金与0day引入入胜
  2. 黑客日薪一万二 IT企业受苦难
  3. 2010年全球最酷的20家云安全厂商你知道几家?
  4. Google的云计算,你真的安全吗?
  5. 利用HTTP-only Cookie缓解跨站点脚本攻击
责任编辑:王文文 来源: 51CTO.com
相关推荐

2014-01-16 14:02:55

Windows 7安全补丁

2014-05-15 09:31:58

2012-05-14 11:03:39

2015-10-26 22:47:26

补丁Oracle漏洞修复

2013-04-11 13:59:39

2013-08-16 09:43:26

2012-04-28 14:00:06

2015-12-11 13:18:55

微软安全更新Windows

2013-08-21 10:55:15

安全补丁

2013-06-13 10:43:31

安全补丁

2013-05-15 10:55:25

2024-08-16 15:34:43

2013-08-16 09:52:00

安全补丁

2009-12-02 08:46:32

Windows 7系统漏洞补丁

2015-07-21 15:03:54

补丁微软

2013-11-11 09:52:21

微软安全补丁

2013-12-06 13:33:08

安全补丁

2010-08-11 14:59:35

2017-06-27 15:00:09

2013-10-15 15:53:21

点赞
收藏

51CTO技术栈公众号